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@ Verffahren zur Verhinderung unzulasslger Abwelchungen vom Ablaufprotokoll einer Anwendung bel 
einem Datenaustauschsystem. 



@ Ein Datenaustauschsystem umfaBt beispielswei- 
se ein Terminal T und eine Chipkarte K. FQr ver- 
schiedene Anwendungen (z.B. Geldautomat, Recti- 
nerzugang) werden in der Cliipkarte K gespeicherte 
Basisfunktionen B in einer jeweils in einem Protokoll 
festgelegten Reihenfolge abgearbeitet. Da die Basis- 
funktionen B vom Termial T aus aufgerufen werden, 
konnte durch gezielte Anderungen des Protokollab- 
laufes am Terminal T die Datensicherheit beein- 
traclitigt werden. Durch Speichern der zulassigen 
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Protokolle in einer Steuerliste STL und Einrichten 
eines Zustandsspeicherbereiches ZS auf der Chip- 
karte K wird es moglich. den Protokollablauf auf der 
Chipkarte K unabhangig vom Terminal T zu kontrol- 
Iteren. Der jeweilige Zustand Z einer Anwendung 
wird im Zustandsspeicherbereich ZS fixiert. In der 
Steuerliste STL sind samtliche bei einem Zustand Z 
zulassigen Basisfunktionsbezeichnungon Bn abge- 
legt. 
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Tragbare Datentrager sind magnetische. opti- 
sche Oder sonstige physikalische Speichereigen- 
schaften nutzende Objekte. Wenn diesen Datentra- 
gern Intelligenz in Form eines Mikroprozessors zu- 
geordnet ist. sind diese Datentrager besonders 
vielseitig verwendbar und erfullen hochste Anforde- 
rungen an die Datensicherheit. Am meisten verbrei- 
tet sind diese inteliigenten Datentrager in Form von 
Chlpkarten. 

Die Cliipkarte ist vielseitig anwendbar. bei- 
spielswelse als bargeldloses Zahlungsmittel, als 
Personal- Oder. Verslcherungsausweis, als SchlQs- 
sei zum Zugang zu Rechnern und fUr alle sonsti- 
gen Anwendungen, bei denen die eindeutige Identi- 
fizierung eines Anwenders notwendig ist Oder die 
Berechtigung eines Anwenders eine bestlmmte An- 
wendung auszufuhren, nachgewlesen werden muB. 
Ist eine einzige Chipkarte fur mehrere solche An- 
wendungen verwendbar, so spricht man von einer 
multifunktionalen Chipkarte. Auf Grund ihres physi- 
kalischen Aufbaus - neben dem Prozessor sind auf 
dem Chip ein maskenprogrammierbarer ROM- 
Speicherbereich, ein als Arbeitsspeicher dienender 
schneller RAM-Speicherbereich und ein nicht flOch- 
tiger. programmlerbarer Speicherbereich 
(EEPROM-Speicherberelch) untergebracht - kon- 
nen die Chipkarten vom Kartenherausgeber durch 
entsprechende ^. Programmierung des EEPROM- 
Speicherbereichs fur viele Anwendungen program- 
miert werden. Bei jeder Anwendung mUssen ge- 
mMi3 einem vorgegebenen Protokoll einige der im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeltet werden. 

Fur jede Anwendung ist Im EEPROM-Speicher- 
bereich ein Anwendungsdatenfeld eingerichtet. Auf 
in einem solchen Feld eingetragene Daten kann 
eine Basisfunktion nur zugreifen, wenn diese An- 
wendung vorher aufgerufen wurde. Im Anwen- 
dungsdatenfeld konnen Daten mit unterschiedli- 
Chen Zugrlffsbedingungen abgelegt sein. Es kann 
beispielsweise festgelegt sein. daU Daten nur dann 
gelesen Oder verandert werden konnen, wenn sich 
der Chipkartenbenutzer durch eine PIN-Nummer 
(personliche fdentifikationsnummer) zu erkennen 
gibt. 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeltet werden soli, und 
die zur BerechtigungsprOfung erforderlichen Infor- 
mationen erhalt die Chipkarte durch Datenaus- 
tausch mit einem Terminal. Mit diesem Terminal Ist 
die Chipkarte direkt durch elektrische Kontakte 
Oder Indirekt Ober optische Oder Induktive Koppel- 
einrichtungen verbunden. Vom Terminal aus kon- 
nen also Basisfunktionen zur Abarbeitung auf der 
Chipkarte aufgerufen werden. Die Reihenfolge, in 
der diese Basisfunktionen aufgerufen werden, wird 
demnach vom Terminal bestimmt. Da es aus si- 
cherheltstechnischen GrOnden erforderlich ist, die 
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Basisfunktionen in einer bestimmten Reihenfolge 
abzuarbelten, besteht durch eine mogliche Manipu- 
lation am Terminal, durch die die Ablaufreihenfolge 
verandert werden konnte, Oder durch die bestimm- 
5 te Basisfunktionen ausgelassen werden konnten, 
ein Sicherheitsrisiko. 

Der Erfindung liegt die Aufgabe zugrunde, bei 
einem Datenaustauschsystem der eingangs ge- 
nannten Art das sicherheitstechnische RIsiko der 
70 unzulassigen. durch Manipulation am Terminal her- 
belgefuhrten Veranderung eines Ablaufprotokolls 
einer Anwendung auszuschalten. 

Diese Aufgabe wird erfindungsgemalS durch 
die im Patentanspruch 1 angegebenen Merkmale 
75 gelost. 

Durch die Speicherung der zulassigen Proto- 
kollablaufe auf dem Datentrager selbst und der 
erfindungsgema/Jen Nutzung dieser Speicherung 
Im Zusammenwirken mit dem Zustandsspeicherbe- 
20 reich, wird die Sicherheit des Datenaustauschsy- 
stems zusatzlich erhoht. Der Datentrager selbst 
kann Manipulationen am Terminal erkennen und 
geelgnete GegenmaBnahmen einleiten. Zudem 
kann das erfindungsgemaiSe Verfahren fur beliebi- 
25 ge Anwendungen eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
gen des erfindungsgemaSen Yerfahrens und einer 
Vorrichtung zur Durchfuhrung des Verfahrens sind 
in den UnteransprUchen angegeben. 
30 Im folgenden wird ein Ausfuhrungsbeispiel der 
Erfindung anhand der Zeichnungen naher eriautert. 
Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchfuhrung des erfindungsgemaiSen Verfah- 
35 rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
FIG 3 eine Nachfolgertabelle zum Ablaufdia- 
gramm. 

FIG 4 AuszGge aus einer Steuerliste zum Ab- 
40 laufdlagramm und 

FIG 5 einen Zustandsspeicherbereich des Da- 
tentragers. 

FIG 1 zeigt ein Datenaustauschsystem, beste- 
hend aus einem vorzugsweise als Chipkarte K aus- 

45 gebildeten Datentrager und einem Terminal T. Das 
Terminal T ist ein mit einer Schnittstelle zum Da- 
tendustausch mit einer Chipkarte K ausgestattetes 
Datenein-Zausgabegrat einer Datenverarbeitungsan- 
lage, beispielsweise ein Geldautomat, ein Konto- 

50 auszugdrucker. eine Personenidentifizierungseln- 
richtung oder auch ein entsprechend ausgerusteter 
Telefonapparal. 

Anstelle einer Chipkarte K sind auch andere 
Datentrager denkbar, die von der geometrischen 

65 Form der Chipkarte K mehr oder weniger abwei- 
chen. Ma/Jgeblich ist ledlglich, dai5 der Datentrager 
einen Prozessor P und einen Speicher S enthalt. 
Im Ausfuhrungsbeispiel sind die Chipkarte K und 
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das Terminal T Uber elektrische Kontakte losbar 
miteinander verbunden. 

Der Speicher S der Chipkarte K ist in drei sich 
in der Speichertechnik unterscheidende Bereiche 
eingeteilt: Ein elektrisch losch- und wiederbe- 
schreibbarer Speicherteil EEPROM, ein schneller. 
als Arbeitsspeicher benutzter schreib- und lesbarer 
Speiclier RAM und ein maskenprogrammierbarer 
Spelcherbereich ROM. Gemafi ihrer Speiciiereigen- 
schaften werden die drei Speicherbereiche unter- 
schiedlich genutzt. Im maskenprogranrtmierbaren 
Speicherbereicli ROM sind vom Kartenhersteller 
die anwenderunabhangigen, universell anwendba- 
ren Daten und Programme gespeichert. Unter an- 
derem sind in diesem maskenprogrammierbaren 
Speicherbereich ROM mehrere Basisfunktionen B 
mit den Basisfunktionsbezeichnungen B1...Bn, 
Krypto-Algorithmen KA beispielsweise zur Ver- 
schlusselung der Daten beim Datenaustausch und 
ein Betriebssystem BTS der Chipkarte K eingetra- 
gen. Im schreib- und lesbaren Speicherbereich 
RAM werden solche Daten abgelegt. die wahrend 
der Dauer einer Verbindung zwischen Terminal T 
und Chipkarte K benotigt werden. Unter anderem 
sind das die Ein-/Ausgangsdaten I/O und Daten, 
die in einem Zustandsspeicherbereich ZS abgelegt 
werden, Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeber festgelegten Daten gespeichert. Die- 
ser Speicherbereich EEPROM enthalt in einem so- 
genannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten. auf die 
nur bezuglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt. Das Gemeinschaftsdatenfeld CDF und die 
Andwendungsdatenfelder ADF enthalten zusatzlich 
sogenannte Steuerlisten STL, in denen jeweils min- 
destens die Ablaufreihenfolge einer Anwendung 
festgelegt ist. Eine einem bestimmten Anwen- 
dungsdatenfeld ADF zugeordnete Steuerliste STL 
kann auch auBerhalb des Anwendungsdatenfeldes 
ADF im Gemeinschaftsdatenfeld CDF gespeichert 
werden. Dies ist immer dann sinnvoll, wenn fur 
verschiedene Anwendungen die gleiche Ablaufrei- 
henfolge vorgeschrieben ist. Da die Steuerliste STL 
dann fUr zwei Oder mehrere solcher Anwendungen 
nur einmal gespeichert werden innuiS kann Speicher- 
platz gespart werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt. Ausgehend von einem Anfangszu- 
stand Zl folgt durch Abarbeitung einer vierten Ba- 
sisfunktion B4 auf den Anfangszustand Zl ein 
zweiter Zustand Z2. Von diesem zweiten Zustand 
Z2 ausgehend. Ist alternativ die Abarbeitung zweter 
Basisfunktionen B2, B3 mogiich. Mit erfolgreicher 
Abarbeitung der zweiten Basisfunktion B2 kommt 
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die Anwendung in einen drltten Zustand Z3 und mit 
der erfotgreichen Abarbeitung der dritten Basis- 
funktion B3 gerat die Anwendung in einen vierten 
Zustand Z4. Vom vierten Zustand Z4 ausgehend 
5 ist nur die Abarbeitung der ersten Basisfunktion B1 
eriaubt; wodurch die Anwendung in einen funften 
Zustand Z5 gerat. Von diesem funften Zustand Z5 
ausgehend, ist entweder die Abarbeitung der zwei- 
ten Basisfunktion B2 oder der dritten Basisfunktion 
10 B3 zugelassen, wahrend die Abarbeitung der drit- 
ten Basisfunktion B3 zum vierten Zustand Z4 der 
Anwendung zurUckfuhrt, fuhrt die Abarbeitung der 
zweiten Basisfunktion B2 zu einem Endzustand Z6 
der Anwendung. Wenn. vom zweiten Zustand Z2 
75 ausgehend, die zweite Basisfunktion B2 abgearbei- 
tet wird, gerat die Anwendung in den dritten Zu- 
stand Z3. Von diesem Zustand Z3 ausgehend ist 
lediglich die Abarbeitung der funften Basisfunktion 
B5 zulassig, die zum Endzustand Z6 der Anwen- 
20 dung fuhrt. Zusatzlich ist bei jedem Zustand Z der 
Anwendung die Abarbeitung einer sechsten Basis- 
funktion B6 und einer schlieBenden Basisfunktion 
BC eriaubt. Stellvertretend fur samtliche sechsten 
Basisfunktionen B6 ist diese nur beim dritten Zu- 
25 stand Z3 der Anwendung in der FIG 2 eingezeich- 
net. Die Abarbeitung der sechsten Basisfunktion B6 
fuhrt immer wieder zu dem Zustand. Z zuruck, von 
dem sie ausging. Die Abarbeitung der schlieJSen- 
den Basisfunktion BC fuhrt stets zur Beeridigung 
30 der Anwendung. 

In FIG 3 ist eine Nachfolgertabelle abgebildet. 
In der ersten Spalte sind samtliche innerhalb der 
Anwendung moglichen ZustSnde Z mit den Num- 
mern 1 bis 6 eingetragen. In der zweiten Spalte ist 
35 zu jedem Zustand die Anzahl BA der zulassigen 
Basisfunktionen B eingetragen. Gemafi dem Ab- 
laufdiagramm aus FIG 2 sind dies zwei Basisfunk- 
tionen B zum ersten Zustand Zl , drei Basisfunktio- 
nen B zum zweiten Zustand Z2, zwei Basisfunktio- 
40 nen B zum dritten Zustand Z3, zwei Basisfunktio- 
nen B zum vierten Zustand Z4. drei Basisfunktio- 
nen B zum funften Zustand Z5 und zwei Basisfunk- 
tionen B zum sechsten Zustand Z6. Da das Been- 
den einer Anwendung keinen Anwendungszustand 
45 zur Folge hat, ist die bei jedem Zustand Z mogli- 
che schlie/Jende Basisfunktion BC in der Nachfol- 
gertabelle der FIG 3 nicht berucksichtigt. Nach der 
zweiten Spalte sind in der Tabelle mehrere Spal- 
tenpaare angegeben. Die Zahl der Spaltenpaare 
50 entspricht der maximalen Anzahl BA der zulassigen 
Basisfunktionen B, die auf einen Zustand Z folgen 
konnen. Jedes Spaltenpaar besteht aus einer Spal- 
te, in der die Nummer B1.,.B6 der jeweils zulassi- 
gen Basisfunktion B angegeben ist und aus einer 
55 zweiten Spalte, in die die Folgezustandsbezeich- 
nung ZF. des auf den jeweiligen Zustand Z nach 
Abarbeitung einer Basisfunktion B folgenden Zu- 
standes Z1...Z6 eingetragen ist. So sind beispiels- 
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weise im zweiten Zustand 22 drei Basisfunktionen 
B 2ur Abarbeitung zugelassen, namlich die zweite 
Basisfunktion 82, die dritte Basisfunktion B3 und 
die sechste Basisfunktion B6. Auf die zweite Basis- 
funktion B2 folgt der dritte Zustand Z3. auf die 
dritte Basisfunktion. B3 folgt der vierte Zustand Z4 
und auf die sechste Basisfunktion B6 folgt der 
zweite Zustand 22. 

Die Nachfolgertabelle gemafi FIG 3 konnte In 
dieser Form zwar abgespeichert werden; diese 
Speicherform hatte aber einen hohen Aufwand bei 
der Auswertung dieser Tabelle zur Folge. Deshalb 
wird die Nachfolgetabelle in Fornn einer Steuerliste 
STL. wie sie ln::FIG 4 angegeben ist, gespeichert. 

FIG 4 zeigt ausschnittswelse eine Steuerliste 
STL, die In zwei Speicherbereiche S1 und S2 ein- 
getragen Ist. Inn Speicherberelch S1 sind ein Steu- 
erlistenkopf SK und ein Steuerlistenrumpf SR un- 
tergebracht und im Speicherberelch 52 Ist eine 
Ausnahmenliste SA abgelegt. Der Steuerlistenkopf 
SK enthalt je einen Spelcherplatz fCir eine Steuerli- 
stenkopflange SKL und fur eine Ausnahmenlisten- 
blocknummer SAN. Desweiteren enthalt der Steu- 
erlistenkopf SK nacheinander den zulasslgen Zu- 
standen Z in aufsteigender Relhenfolge zugeordne- 
te Speicherplatzpaare, In die jeweils die Anzahl 
SBA der beim betreffenden Zustand 2 zulassigen 
Basisfunktionen B (mit Ausnahme der Basisfunktio- 
nen B. dessen Basisfunktionsbezeichnungen Bn in 
einer Ausnahmenliste SA eingetragen sind) und ein 
Pointer SBP eingetragen sind. Dieser Pointer SBP 
zeigt auf einen Spelcherplatz im Steuerlistenrumpf 
SR, an dem die zulassigen Basisfunktionen B und 
ihre Folgezustande ZF abgelegt sind. Der Steuerli- 
stenrumpf SR besteht aus Gruppen von Datentu- 
peln, wobei auf den Anfang jeder Gruppe der Poin- 
ter SBP aus dem Steuerlistenkopf SK zeigt. Ein 
solches Tupel setzt sich aus einem Speicherplatz 
fGr die Bezeichnung einer Basisfunktion B und ei- 
nem Speicherplatz fur eine Folgezustandsbezeich- 
nung 2F eines zwingend auf die im Tupel bezeich- 
nete Basisfunktion B folgenden 2ustandes Z zu- 
sammen. WIe die FIG 4 zeigt, sind Im Steuerlisten- 
kopf SK dem ersten 2ustand 21 eine Funktionsan- 
zahl SBA1 und ein Pointer SBP1 zugeordnet. ber 
Pointer SBP1 weist auf die dem ersten 2ustand Z1 
zugeordnete Gruppe im Steuerlistenrumpf SR, die 
ein Datentupel enthalt. In die Speicherplatze dieses 
Datentupels sind die Bezeichnung der vierten Ba- 
sisfunktion B4 und die Folgezustandsbezeichnung 
ZF des auf die erfolgreiche Abarbeitung der vierten 
Basisfunktion B4 folgenden zweiten Zustandes Z2 
eingetragen. Diese Eintragungen entsprechen den 
Eintragungen. die an entsprechender Stelle aus 
FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien Zustanden Z der Anwendung die 
Abarbeitung der sechsten Basisfunktion B6 und die 
Abarbeitung der die Anwendung beendenden 



schliefienden Basisfunktion BC zulassig ist, ist es 
vorteilhaft, diese Basisfunktionen nicht im Steuerli- 
stenrumpf SR einzutragen. Durch die Einrichtung 
der Ausnahmenliste SA im zweiten Speicherbe- 
5 relch S2 konnen die Bezeichnungen der bel jedem 
Zustand Z zulassigen Basisfunktionen B6, BC spel- 
cherplatzsparend in eine Steuerliste STL eingefugt 
werden. Im Steuerlistenkopf SK ist in den Spei- 
cherplatz neben der Steuerlistenkopflange SKL 

70 eine Ausnahmenlistenblocknummer SAN eingetra- 
gen. Durch diese Nummer wird die Ausnahmenliste 
SA der Anwendung zugeordnet. Durch diese Art 
der Ausnahmenlistenzuordnung und gemeinsam 
mit der Speicherung der Ausnahmenliste SA im 

75 Gemeinschaftsdatenfeld CDF ist es auch moglich. 
eine Ausnahmenliste SA fur verschiedene Anwen- 
dungen zu venwenden. 

FIG 5 zeigt eine spezlelle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

20 ZS enthalt Informatlonen zum Protokollablauf und 
zur Datenzugriffskontrolle. Zu den Informatlonen 
zum Protokollablauf gehoren die Blocknummer 
STB der Steuerliste STL, die Bezeichnung der zu- 
letzt erfolgreich abgearbelteten Basisfunktion B, die 

25 im Basisfunktionsspeicherplatz BZ eingetragen ist 
und die Information Gber den aktuellen Protokollzu- 
stand Z, die im Protokollzustandsspeicherplatz 2i 
abgelegt Ist. Die Speicherplatze zur Datenzugriffs- 
kontrolle umfassen einen Platz APIN fur die Kenn- 

30 zeichnung einer erfolgreich durchgefuhrten PIN- 
Prufung innerhalb der Anwendung, zwel Speicher- 
platze zum Ablegen der Information, ob zwel ver- 
schiedene AuthentlzltatsprUfungen AUTH1. AUTH2 
erfolgreich durchgefuhrt wurden, einige Reserve- 

35 speicherplatze RES und einen Speicherplatz, in 
dem die Information eingetragen wird, ob eine glo- 
bale PIN-Prufung GPIN erfolgreich durchgefuhrt 
wurde. 

Im folgenden wird der Ablauf des erfindungs- 

40 gemafien Verfahrens unter Einbeziehung der oben 
beschriebenen Vorrichtung eriautert. 

Mit dem Einstecken einer Chipkarte K in das 
Terminal T wird mittels elektrischer Kontakte Oder 
gegebenenfalls auch kontaktlos eine elektrische 

45 Verbindung zwischen Terminal T und Chipkarte K 
hergestellt. Diese Verbindung wirkt sowohl hinsicht- 
lich der Stromversorgung als auch bezUglich der 
Ankopplung der Ein-/Ausgabeeinrlchtungen I/O des 
Terminals T und der Chipkarte K. Durch das Eln- 

50 stecken der Chipkarte K wird der gesamte Arbeits- 
speicherbereich in einen bestlmmten 2ustand - 
z.B. alle Bit = 0 - zuruckgesetzt. 

Das Terminal T ist in diesem Beispiel einer 
bestimmten Anwendung - beispielswelse einem 

55 Geldautomaten einer Bank - zugeordnet Die jewei- 
lige Art der Anwendung wird der Chipkarte K in der 
Weise mitgeteilt. da5 das Terminal T ein spezifi- 
sches Applikationskommando an die Chipkarte K 
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Ubertragt. Auf der Chipkarte K wird nun Gberpruft. 
Ob auf der Chipkarte K ein Anwendungsdatenfeld 
ADF fur diese spezielle Anwendung vorhanden ist. 
1st dieses Anwendungsdatenfeld ADF vorhanden, 
findet eine tellweise Initialisierung des Zustands- 
speicherbereichs ZS statt. Diese Initialisierung hat 
zur Folge. da/J die Blocknummer STB der dieser 
Anwendung zugeordneten, im Anwendungsdaten- 
feld ADF Oder im Gemeinschaftsdatenfeld CDF ver- 
merkten Steuerliste STL im Zustandsspeicherbe- 
reich ZS eingetragen wird und der Protokollzu- 
standsspeicherplatzZi. in dem der aktuelle Anwen- 
dungszustand Z eingetragen werden muB, auf den 
ersten Zustand Z1 gesetzt wird. Desweiteren wer- 
den samtliche Bit der anwendungsbezogenen Spei- 
cherplatze zurUckgesetzt (beispielsweise 0). Die Bit 
der Speicherplatze fur globale Daten bleiben un- 
verandert. 

Nach der Meldung an das Terminal T. dafi der 
Initialisierungsvorgang abgeschlossen ist, erfolgt 
die Obertragung eines Funktionskommandos vom 
Terminal T zur Chipkarte K. wobei dieses Funk- 
tionskommando, z.B. die vierte Basisfunktion B4 
bezeichnet und die notwendigen Eingangsdaten fur 
diese Basisfunktion B4 enthalt. Die Chipkarte K 
befindet sich auf Grund der Eintragung im Zu- 
standsspeicherbereich ZS im ersten Zustand Z1. 
Es wird nun im Steuerlistenkopf SK. der Steuerliste 
STL mit der im Zustandsspeicherbereich ZS einge- 
tragenen Blocknummer STB, dasjenige Datenpaar 
gelesen, das dem ersten Zustand Z1 zugeordnet 
ist. Im Speicherplatz SBA1 ist eingetragen. daB in 
diesem ersten Zustand Z1 nur eine Basisfunktion B 
zulassig ist Der neben diesem Speicherplatz ein- 
getragene Pointer SBP1 zeigt auf die dem ersten 
Zustand Z1 zugeordnete Gruppe von Datentupeln. 
Dieses Tupel enthalt die Bezeichnung der vierten 
Basisfunktion B4 und die Bezeichnung des auf die 
vierte Basisfunktion B4 folgenden Zustandes Z2. 
Der Vergleich der vom Terminal T ubertragenen 
Basisfunktionsbezeichnung B4 und der Basisfunk- 
tionsbezeichnung B4, die im Datentupei des Steu- 
erlistenrumpfes SR eingetragen ist, liefert eiri posi- 
tives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskomman- 
do Ubertragenen Eingangsparameter abgearbeitet. 
Unter der Annahme. daJ3 die vierte Basisfunktion 
B4, die fur die PIN-PrUfung zustandige Funktion ist. 
und daJ3 die PIN-Nummer vor dem Funktionsaufruf 
am Terminal T richtig eingegeben wurde. liefert die 
vierte Basisfunktion B4 das Ergebnis, da/J die PIN- 
PrOfung erfolgreiche vorgenommen wurde. Am Ba- 
sisfunktionsspeicherplatz BZ fUr die zuletzt erfolg- 
reich ausgefuhrte Basisfunktion B des Zustands- 
speicherbereiches ZS wird die Bezeichnung der 
vierten Basisfunktion B4 eingetragen. Zusatzlich 
wird an einem der Speicherplatze APIN oder GPIN, 
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beispielsweise durch Setzen eines Bit, die erfolg- 
reich ausgefuhrte PIN-Prufung vermerkt. Welches 
Bit der beiden Speicherplatze gesetzt wird hangt 
davon ab, ob mit dem gleichen Terminal T mehre- 

5 re Anwendungen realisierbar sind und davon, ob 
fOr alle Anwendungen, fur die die Chipkarte K 
zugelassen ist,. die gleiche PIN-Nummer erforder- 
lich ist. Da im beschriebenen FaH das Terminal T 
ausschlieiSlich dem Geldautomaten zugeordnet ist 

10 und damit nur eine Anwendung mit diesem Termi- 
nal T durchgefuhrt werden kann, wird der Speicher- 
platz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt. 

Der Zustand Z der Anwendung wird dadurch in 

75 den zweiten Zustand Z2 Ubergefuhrt, dafl der im 
Datentupei im Steuerlistenrumpf SR neben der Ba- 
sisfunktionsbezeichnung B4 in Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 
kollzustandsspeicherplatz Zi des Zustandsspeicher- 

20 bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal 
T die erfolgreiche Abarbeitung der vierten Basis- 
funktion B4 signalisiert, von der Chipkarte K zum 
Terminal T Ubertragen wurde. ist der erste Vorgang 

25 abgeschlossen. Die Chipkarte K ist wieder bereit, 
eine Information hier in Form eines Funktionskom- 
mandos, zu empfangen. 

Das Terminal T ubertragt nun ein zweites 
Funktionskommando zur Chipkarte K. Dieses Funk- 

30 tionskommando bezeichnet die dritte Basisfunktion 
B3 und beinhaltet die Eingangsparameter dieser 
Basisfunktion B3. Im Steuerlistenkopf SK wird das 
jeweilige Datenpaar gelesen, das dem zweiten Zu- 
stand Z2 zugeordnet ist. Im Speicherplatz SBA2. 

35 der die Anzahl der zulassigen Basisfunktionen B 
angibt steht die Zahl zwei. Der zugehorige Pointer 
SBP2 zeigt auf den ersten Speicherplatz, der dem 
zweiten Zustand Z2 zugeordneten Gruppe von Da- 
tentupeln im Steuerlistenrumpf SR. 

40 Die in dieser Gruppe eingetragenen Basisfunk- 
tionsbezeichnungen B2, B3 werden mit der Basis- 
funktionsbezeichnung B3. die mit dem Funktions- 
kommando zur Chipkarte K Ubertragen wurde, ver- 
glichen. Der Vergleich fallt ppsitiv aus. Nach erfolg- 

.45 reicher Abarbeitung der dritten Basisfunktion B3 
wird die Anwendung der Chipkarte K in den Zu- 
stand Z4 versetzt. Unter der Annahme, dafl im 
Zuge der Abarbeitung der Basisfunktion B3 auf im 
Anwendungsdatenfeld ADF abgelegte Daten zuge- 

50 griffen werden mu/3 und dieser Zugriff nur zulassig 
ist, wenn vorher eine PIN-PrUfung erfolgreich 
durchgefuhrt wurde, werden vor Beginn der Abar- 
beitung der dritten Basisfunktion B3 die PIN-Spei- 
cherplatze APIN. GPIN im Zustandsspeicherbe- 

55 reich ZS gelesen. Nur wenn eines der beiden Bit 
auf 1 gesetzt ist, wird die dritte Basisfunktion B3 
abgearbeitet. Ist diese Abarbeitung beendet, wird in 
den Basisfunktionsspeicherplatz BZ des Zustands- 

5 
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speicherbereichs ZS die Bezeichnung der dritten 
Basisfunktion B3 eingetragen und im Protokollzu- 
standsspeicherplatz Zi der vierte Zustand Z4 ein- 
getragen. Zusatzlich wird ein Antwortsignal zum 
Terminal T Qbertragen. 

Mit dem nachsten Funktionskommandp wird 
die sechste Basisfunktion 86 angefordert und die 
notwendlgen Eingangsparameter zur Cliipkarte K 
ubertragen. Im Steuerlistenkopf SK wird das dem 
vierten Zustand Z4 zugeordnete Datenpaar gele- 
sen. Im Speicherplatz fur die Funktionsanzahl 
SBA4 ist eine 1 eingetragen. Der Pointer SBP4 
zelgt im Steuerlistenrumpf SR auf das dem vierten 
Zustand Z4 zugeordnete Datentupel. In diesem Da- 
tentupel steht die Basisfunktionsbezeichnung B1 
der ersten Basisfunktion B und der entsprecliende 
fGnfte Folgezustand Z5. Ein Vergleich der Basis- 
funktionsbezeichnung B1 im Steuerlistenrumpf SR 
und der zur Chipkarte K Ubertragenen Basisfunk- 
tionsbezeichnung B6 liefert ein negatives Ergebnis. 
Daraufhin wird im Steuerlistenkopf SK die Ausnah- 
menlistenblocknummer SAN gelesen. Die in der 
Ausnahmenliste SA eingetragenen Basisfunktions- 
bezeichnungen B6, BC werden nun mit der zur 
Chipkarte K hin Ubertragenen Basisfunktionsbe- 
zeichnung 86 verglichen. Auf Grund des positiven 
Verglelchsergebnisses und unter der Vorausset- 
zung, daiS eventuelle Datenzugriffsbedingungen er- 
fullt sind. wird die sechste Basisfunktion B6 abge- 
arbeitet. Trotz erfolgreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bleibt ebenfalls unverandert. Auch jetzt erfolgt die 
Obertragung eines Antwortsignals zum Terminal T. 

Fur den Fall. daiS sich die Anwendung nach 
Abarbeitung der dritten Basisfunktion B3 im vierten 
Zustand Z4 beflndet und vom Terminal T nochmals 
die dritte Basisfunktion B3 aufgerufen wird, liefern 
samtliche Vergleiche im Steuerlistenrumpf SR und 
in der Ausnahmenliste SA ein negatives Ergebnis. 
In diesem Fall findet ein weiterer Vergleich statt. 
Die zur Chipkarte K Qbertragene Basisfunktionsbe- 
zeichnung 83 der dritten Basisfunktion B wird mit 
der im Zustandsspeicherbereich ZS im Basisfunk- 
tionsspeicherplatz BZ eingetragenen Basisfunk- 
tionsbezeichnung B3 verglichen. Dieser Vergleich 
liefert ein positives Ergebnis. wodurch die Abarbei- 
tung der dritten Basisfunktion 83 zugelassen wird. 
Damit ist eine Wiederholbarkeit von Basisfunktio- 
nen B gewahrleistet. 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwen- 
dungen behandelt. bis vom Terminal T die schlie- 
Cende Basisfunktion BC aufgerufen wird, die die 
Anwendung beendet. Die schliejSende Basisfunktion 
BC kann nach Abarbeitung jeder beliebigen Basis- 
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funktion B aufgerufen werden, da die Basisfunk- 
tionsbezeichnung BC in der Ausnahmenliste SA 
enthalten ist. Fur den Fall. daiS keine Ausnahmenli- 
ste SA existiert, mui3 der Prozessor P fur den Fall, 
5 daiS samtliche vorgenommenen Vergleiche negati- 
ves Ergebnis geliefert haben, Uberprufen, ob die 
vom Terminal T aufgerufene Basisfunktion B die 
schliefiende Basisfunktion BC ist. Auf diese Weise 
kann sichergestellt werden, dai3 auch bei nicht vor- 

10 handener Ausnahmenliste SA die schlieflende Ba- 
sisfunktion BC jederzeit aufrufbar ist. 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis. dann wird dies dem Ter- 
minal T in Form einer selektiven Fehlermeldung 

75 mitgeteilt. Aus dieser selektiven Fehlermeldung 
geht beispielsweise hervor, dafi der Grund fur die 
Zuruckweisung die Nichtzul^ssigkeit der Abarbei- 
tung der Basisfunktion B im vorliegenden Anwen- 
dungszustand Z ist. Andere selektive Fehlermel- 

20 dungen konnen beispielsweise anzeigen, dafl die 
PIN-Nummer falsch eingegeben wurde Oder eine 
PlN-PrGfung noch nicht stattgefunden hat. 

In den meisten Fallen wird es geniigen, mit 
einem Terminal T nur eine Anwendung auszufUh- 

25 ren. In diesen Fallen genugt es, wenn erst nach 
Beendigung oder Abbruch einer vorher aktivierten 
Anwendung eine weitere Anwendung aufgerufen 
werden kann. Lai3t man aber an einem Terminal t 
mehrere Anwendungen zu, dann kann es sinnvoll 

30 sein, diese Anwendungen auch ineinander ver- 
schachtelt aufzurufen. In diesen Fallen ist es dann 
moglich, nach der Ubermittlung eines Antwortsi- 
gnals von der Chipkarte K zum Terminal T, ein 
Applikationskommando noch vor Beendigung einer 

35 Anwendung zur Chipkarte K zu Ubertragen. Wenn 
ein Applikationskommando vor Beendigung einer 
Anwendung die Chipkarte K erreicht. wird der Inhalt 
des Zustandsspeicherbereichs ZS und eine Kenn- 
zeichnung, die die gegenwartig laufende Anwen- 

40 dung eindeutig benennt. in einem Hilfsspeicher ab- 
gelegt. Dieser Hilfsspeicher kann beispielsweise im 
Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach Sicherung dieser Daten im Hilfsspeicher wird 
die teilweise Initialisierung des Zustandsspeicher- 

45 bereichs ZS vorgenommen. Die mit dem Applika- 
tionskommando bezeichnete eingeschobene An- 
wendung kann in oben beschriebener Weise bear- 
beitet werden. Nach Beendigung der eingeschobe- 
nen Anwendung werden die im Hilfsspeicher abge- 

50 legten Daten der unterbrochenen Anwendung wie- 
der an ihre ursprunglichen Speicherstelien zurUck- 
transferiert. Der Ablauf der vorher unterbrochenen 
Anwendung kann fortgesetzt werden. 

55 PatentansprUche 

1. Verfahren zur Verhinderung unzulassiger Ab- 
weichungen vom Ablaufprotokoll einer Anwen- 
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dung bei einem Datenaustauschsystem, das 
mindestens aus einem Terminal (T) und min- 
destens einem tragbaren, mindestens einen 
Prozessor (P) und mindestens einen Speicher 
(S) enthaltenden. wenigstens fur eine Anwen- 
dung nutzbaren Datentrager (K) besteht, mit 
folgenden Merkmalen: 

a) zum Datenaustausch wird der Datentra- 
ger (K) mit dem Terminal (T) verbunden, 
wodurch ein im Speicher (S) des Datentra- 
gers vorhandener Zustandsspeicherbereich 
(ZS) In einen Grundzustand versetzt wird. 

b) das Terminal (T) Gbermittelt an den Da- 
tentrager (K) ein Applikationskommando, 
das eine dem Terminal (T) zugeordnete An- 
wendung bezeichnet, 

c) das Terminal (T) Gbermittelt an den Da- 
tentrager (K) ein Funktionskommando. das 
mindestens eine Basisfunktionsbezeichnung 
(Bk) einer Basisfunktion (B) enthalt, die als 
nachste ausgefuhrt werden soil. 

d) diese Basisfunktionsbezeichnung (Bk) 
wird im Datentrager (K) mit im Speicher (S) 
des Datentragers (K) bezGglich der vorher 
bezeichneten Anwendung gespeicherten 
Basisfunktionsbezeichnungen (Bn) vergli- 
chen. die im vorliegenden. durch eine Ein- 
tragung im Zustandsspeicherbereich (ZS) fi- 
xierten. Protokollzustand zulassig sihd, 

e) nur bei positivem Vergleichsergebnis 
wird die der zum Datentrager (K) Ubermittel- 
ten Basisfunktionsbezeichnung (Bk) zuge- 
ordnete Basisfunktion (B) im Datentrager (K) 
ausgefuhrt. 

f) nach erfolgreicher Basisfunktionsausfuh- 
rung 

f1) werden die im Zustandsspeicherbe- 
reich (ZS) abgelegten Daten dem neuen 
Protokollzustand angepaflt. 
f2) wird vom Datentrager (K) zum Termi- 
nal (T) ein Antwortsignal Gbertragen, 

g) bis der Ablaut der Anwendung beendet 
ist Oder abgebrochen wird, wird vom Termi- 
nal (T), nach der Ubertragung eines Ant- 
wortsignals vom Datentralger (K) zum Termi- 
nal (T), durch Ubermittelung eines Funk- 
tionskommandos an den Datentrager (K) die 
nachste auszulQhrende Basisfunktion (B) 
aufgerufen. 

Verfahren nach Anspruch 1 , dadurch gekenn- 
zelchnet, 6aB durch die Ubermittlung des 
Applikationskommandos vom Terminal (T) zum 
Datentrager (K) eine teiiweise Initialisierung 
des Zustandsspeicherbereichs (ZS) ausgelost 
wird. 



gehenden AnsprGche. dadurch gekennzelch- 
net, dai3 die Ubermittlung des Applikations- 
kommandos vom Terminal (T) zum Datentra- 
ger (K) die Eintragung einer Blocknunrinher 

5 (STB) im Zustandsspeicherbereich (ZS) be- 

wirkt und da0 diese Blocknummer (STB) den 
Platz im Speicher (S) des Datentragers (K) 
bezeichnet, an dem die bei der mit dem Appli- 
. kationskommando bezeichneten Anwendung 

10 im jeweils vorliegenden Protokollzustand (Z) 

zulassigen Basisfunktionsbezeichnungen (Bn) 
abgelegt sind. 

4. Verfahren nach mindestens einem der vorher- 
75 gehenden Anspruche, dadurch gekennzeich- 

net, 6aB die Obertragung einer Information 
vom Terminal (T) zum Datentrager (K) nur 
dann erfolgen kann, wenn vorher ein Antwortsi- 
gnal vom Datentrager (K) zum Terminal (T) 
20 Gbermittelt wurde. 

5. Verfahren nach mindestens einem der vorher- 
gehenden AnsprGche, dadurch gekennzeich- 
net, 6aB durch Ubermittlung eines Applika- 

25 tionskommandos vom Terminal (T) zum Daten- 

trager (K) erst nach Beendigung oder Abbruch 
einer vorher aktivierten Anwendung eine weite- 
re Anwendung aufgerufen werden kann. 

30 6. Verfahren nach mindestens einem der AnsprG- 
che 1 bis 4, dadurch gekennzeicfinet, 6aB 
bei Ubermittlung eines Applikationskomman- 
dos vor Beendigung einer Anwendung minde- 
stens der Inhalt des Zustandsspeicherbereichs 

35 (ZS) in einem Hilfsspeicher abgelegt wird, da0 

danach die teiiweise Initialisierung des Zu- 
standsspeicherbereichs (ZS) erfolgt und daB 
nach erfolgter Initialisierung die mit dem Appli- 
kationskommando bezeichnete eingeschobene 

40 Anwendung bearbeitet wird. 

7. Verfahren nach Anspruch 6. 

dadurch gekennzeichnet, 6aB nach Beendi- 
gung der eingeschobenen Anwendung die im 
45 Hilfsspeicher abgelegten, der unterbrochenen 

Anwendung zugeordneten Daten wieder an 
ihre ursprunglichen Speicherstellen zurGck- 
transferiert werden und da5 der Ablauf der 
unterbrochenen Anwendung fortgesetzt wird. 

50 

8. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daC zu- 
satzlich zur Basisfunktionsbezeichnung (Bk) im 
Funktionskommando enthaltene Basisfunk- 

65 tionseingangsparameter an den Datentrager 

(K) Gbermittelt werden. 



3. Verfahren nach mindestens einem der vorher- 



9. Verfahren nach mindestens einem der AnsprO- 
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Che 3 bis 8, dadurch gekennzeichnet, 6aB 
nach Erhalt eines Funktionskommandos Ober- 
prOft wird. ob eine Blocknummer (STB) im 
Zustandsspeicherbereich (2S) eingetragen ist. 

10. Verfahren nach einem der vorhergehenden An- 
sprUche. dadurch gekennzeichnet, 6aB ein 
erster Speicherbereich (Si) des Speichers (S) 
daraufhin UberprGft wird, ob eine Eintragung 
zum vorliegenden Protokollzustand (2) der mit 
denn Applikationskommando bezeichneten An- 
wendung in diesenn ersten Speicherbereich 
(Si) vorhanden ist 

11. Verfahren nach Anspruch 10, dadurch ge- 
kennzeichnet, daB Im Falle einer vorhande- 
nen Eintragung zum vorliegenden Protokollzu- 
stand (Z) die bezUglich dieses Protokollzustan- 
des (Z) im ersten Speicherbereich (SI) gespei- 
cherten Basisfunktionsbezeichnungen (Bn) mit 
der, mit dem Funktionskommando zum Daten- 
trager (K) Obermlttelten Funktionsbezeichnung 
(Bk) verglichen werden. 

12. Verfahren nach mindestens einem der Anspru- 
che 10 Oder 11. dadurch gekennzeichnet, 
6aB im Falle einer fehlenden Eintragung zum 
vorliegenden Protokollzustand (Z) bzw. einer 
NichtGbereinstimmung der ubermittelten und 
der gespeicherten Basisfunktionsbezeichnun- 
gen (Bk.Bn) im ersten Speicherbereich (SI) in 
einem zweiten Speicherbereich (S2) des Spei- 
chers (S) GberprQft wird, ob die zum DatentrS- 
ger (K) ubermittelte Basisfunktionsbezeichnung 
(Bk) in diesem zweiten Speicherbereich (S2) 
bezuglich der mit dem Applikationskommando 
bezeichneten Anwendung. unabhangig vom 
vorliegenden Protokollzustand (Z) eingetragen 
ist. 

13. Verfahren nach mindestens einem der vorher- 
gehenden AnsprQche 10 bis 12, dadurch ge- 
kennzeichnet, 6aB im Falle einer fehlenden 
Eintragung zum vorliegenden Protokollzustand 
Z bzw. einer NichtUbereinstimrriung der Uber- 
mittelten und der gespeicherten Basisfunk- 
tionsbezeichnung (Bk, Bn) sowohl im ersten 
Speicherbereich (SI) als auch im zweiten 
Speicherbereich (S2) OberprUft wird, ob die 
Ubermittelte Basisfunktionsbezeichnung(Bk) die 
Basisfunktionsbezeichnung (BC) fOr die schlie- 
iSende Basisfunktion (B) ist. 

14. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, dai5 nach erfolgreicher AusfUhrung einer 
Basisfunktion (B) die Bezeichnung dieser Ba- 
sisfunktion (B) in einem Basisfunktionsspei- 



cherplatz (BZ) des Zustandsspeicherbereichs 
(ZS) eingetragen wird. 

15. Verfahren nach mindestens einem der AnsprU- 
che 10 bis 14, dadurch gekennzeichnet, dai3 
bei. NichtUbereinstimmung der zum Datentra- 
ger (K) Ubermittelten Basisfunktionsbezeich- 
nung (Bk) mit den entsprechenden Eintragun- 
gen im Speicher (S) diese Ubermittelte Basis- 

10 funktionsbezeichnung (Bk) mit der im Basis- 
funktionsspeicherplatz (BZ) des Zustandsspei- 
cherbereichs (ZS) vermerkten Bezeichnung 
der zuletzt erfolgreich ausgefUhrten Basisfunk- 
tion (B) verglichen wird. 

75 

16. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, dai3 zu einer Basisfunktionsausfuhrung 
eventuell erforderliche, im Zustandsspeicher- 

20 bereich (ZS) abgelegte Zugriffsrechte auf Da- 
ten im Datentrager (K) uberprUft werden. 

17. Verfahren nach mindestens einem der AnsprU- 
che 10 bis 16, dadurch gekennzeichnet, daiS 

25 eine im ersten Speicherbereich (Si) in Verbin- 
dung mit einer gespeicherten Basisfunktions- 
bezeichnung (Bn) abgelegte Folgezustandsbe- 
zeichnung (ZF), nach erfolgreicher AusfUhrung 
dieser der gespeicherten Basisfunktionsbe- 

30 zeichnung (Bn) zugeordneten Basisfunktion 
(B), im ProtokoNzustandsspeicherplatz (Zi) des 
Zustandsspeicherbereichs (ZS) eingetragen 
wird. 

35 18. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, daiS nach erfolgreicher Basisfunktionsaus- 
fuhrung zur Anpassung an den neuen Proto- 
kollzustand (Z) Informationen zum Protokollab- 

40 lauf und/oder zur Datenzugriffskontrolle im Zu- 
standsspeicherbereich (ZS) eingetragen wer- 
den. 

19. Verfahren nach Anspruch 18, dadurch ge- 
45 kennzeichnet, dafl die Informationen zur Da- 

tenzugriffskontrolle getrennt nach anwendungs- 
bezogenen und globalen Daten im Zustands- 
speicherbereich (ZS) eingetragen werden. 

50 20. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, dafl bei negativem Vergleichsergebnis 
eine selektive Fehlermeldung vom Datentrager 
(K) zum Terminal (T) ubermittelt wird. 

65 

21. Vorrichtung zur DurchfUhrung des Verfahrens 
nach rriindestens einem der AnsprUche 1 bis 
20, bei der der Speicher (S) in einen gemein- 
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schaftliche und anwendungsbezogene Daten 
enthaltenden Datenspeicher (EEPROM), einen 
auch eine Ein-/Ausgangsschnittste!le (I/O) be- 
dienenden Arbeitsspeicher (RAM) und einen 
ein Betriebssystem (BTS) und mehrere Basis- 
funktionen (B) enthaltenden Maskenspeicher 
(ROM) eingeteilt ist. dadurch gekennzeich- 
net, daC der Datenspeicher (EEPROM) fUr 
jede mogliche Anwendung eine die Zulassigen 
Protokollablaufe enthaltende Steuerliste (STL) 
enthalt und dafl im Arbeitsspeicher (RAM) der 
die jeweiligen Protokollzustande (Z) aufneh- 
mende Zustandsspelcher (ZS) enthalten 1st. 

22. Vorrichtung nach Anspruch 21. dadurch ge- 
kennzeichnet, daB die Steuerliste (STL) in 
einen Steuerlistenkopf (SK) und einen Steuerli- 
stenrumpf (SR) aufgeteilt ist. 

23. Vorrichtung nach Anspruch 22, dadurch ge- 
kennzeichnet. dafl im Steuerlistenkopf (SK) 
linear nachelnander die Steuerlistenkopflange 
(SKL) und fur jeden bei der Anwendung mogll- 
chen Zustand (Z). beginnend mit dem ersten 
Zustand (Z1) ein Datenpaar gespeichert ist. 
das aus einer die beim jeweiligen Zustand (Z) 
ausfGhrbare Basisfunktionsanzahl (SBA) ange- 
benden Information und aus einem auf eine 
Speicherstelle im Steuerlistenrumpf (SR) wei- 
senden Pointer (SBP) besteht. 

24. Vorrichtung nach mindestens einem der An- 
sprOche 22 oder 23. dadurch gekennzeich- 
net, daB der Steuerlistenrumpf (SR) wenig- 
stens aus einer. aus jeweils mindestens einem 
Datentupel bestehenden, jeweils einem Zu- 
stand (Z) Zugeordneten Gruppe besteht und 
daJ5 die Datentupel Jeweils aus einer gespei- 
cherten Basisfunktionsbezeichnung (Bn) und 
einer Folgezustandsbezeichnung (ZF) beste- 
hen. 

25. Vorrichtung nach rhindestens einem der An- 
sprQche 23 oder 24. dadurch gekennzelch- 
net, daB der einem bestlmmten Zustand (Z) 
zugeordnete Pointer (SBP) jeweils auf den Be- 
ginn einer dem gleichen Zustand (Z) Zugeord- 
neten Gruppe im Steuerlistenrumpf (SR) zeigt. 

26. Vorrichtung nach mindestens einem der An- 
sprOche 21 bis 25, dadurch gekennzelchnet, 
daB einer Steuerliste (STL) eine Ausnahmenli- 
ste (SA) zugeordnet ist. 

27. Vorrichtung nach Anspruch 26, dadurch ge- 
kennzelchnet, daB im Steuerlistenkopf (SK) 
unmittelbar nach der Steuerlistenkopflange 
(SKL) eine Ausnahmenlistenblocknummer 
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(SAN) eingetragen Ist, die direkt oder indirekt 
den Speicherplatz angibt, an dem die Ausnah- 
menliste (SA) gespeichert ist. 

5 28. Vorrichtung nach mindestens einem der An- 
spruche 26 oder 27, dadurch gekennzelch- 
net, daB in der Ausnahmenliste (SA) nacheln- 
ander die Basisfunktionsbezerchnungen {Bn) 
der Basisfunktionen (B) angegeben sind, die 

JO unabhangig vom vorliegenden Protokollzustand 
jederzeit ausfuhrbar sind. 

29. Vorrichtung nach mindestens einem der vor- 
hergehenden Anspruche 21 bis 28, dadurch 
75 gekennzelchnet, daB im Zustandsspeicherbe- 
reich (ZS) Speicherplatze fur bestimmte Infor- 
mationen zum Protokollablauf und/oder zur Da- 
tenzugriffskontrolle vorhanden sind. 

20 30. Vorrichtung nach Anspruch 29, dadurch ge- 
kennzeichnet, daB im Zustandsspeicherbe- 
reich (ZS) zum Protokollablauf je ein Speicher- 
platz fur die Blocknummer (STB) der der vor- 
liegenden Anwendung zugeordneten Steuerli- 

25 ste (STL), ein Basisfunktionsspeicherplatz (BZ) 

fur die Basisfunktionsbezeichnung (Bk) der zu- 
letzt erfolgreich ausgefuhrten Basisfunktion (B) 
und ein Protokollzustaridsspeicherplatz (Zi) fur 
den Protokollzustand (Z) nach der zuletzt er- 

30 folgreich ausgefuhrten Basisfunktion (B) vor- 
handen ist. 

31. Vorrichtung nach mindestens einem der vor- 
hergehenden AnsprUche 29 oder 30, dadurch 

35 gekennzelchnet, daB die im Zustandsspei- 
cherbereich (ZS) vorhandenen Speicherplatze 
zur Datenzugriffskontrolle in globale und in an- 
wendungsbezogene Speicherplatze aufgeteilt 
sind. 

40 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzelchnet, daB je ein Speicherplatz fUr 
das anwendungsbezogene Speichern einer 
durchgefuhrten PIN-Prufung (PIN) fiir einige 

45 sich voneinander unterscheidende durchge- 
fGhrte AuthentizitatsprUfungen (AUTH1.AUTH2) 
und ein globaler Speicherplatz fur das Spei- 
chern einer durchgefQhrten PIN-Prufung 
(GPIN) vorhanden sind. 

50 
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